Anar al contingut principal
Certyneo

Securitzar documents signats electrònicament: guia 2026

Arxivament, integritat, conformitat eIDAS: securitzar els vostres documents signats electrònicament és una obligació legal i estratègica. Descobriu les bones pràctiques 2026.

Equip Certyneo14 min de lectura

Actualitzat el

Equip Certyneo

Redactor — Certyneo · Sobre Certyneo

a pile of newspapers

Introducció

La signatura electrònica s'ha imposat com la norma en els intercanvis B2B europeus. Però signar un document no és suficient: encara cal securitzar, arxivar i conservar aquests documents signats electrònicament respectant el marc legal vigent. A França i Europa, les obligacions derivades del reglament eIDAS, del RGPD i del Codi civil imposen exigències precises en matèria d'integritat, traçabilitat i durada de conservació. Aquesta guia us explica, pas a pas, com establir una estratègia d'arxivament robusta per als vostres documents electrònics signats — i per què aquesta aproximació és indissociable d'una política de signatura electrònica seriosa.

---

Per què la securització dels documents signats és una prioritat absoluta

Els riscos associats a una mala conservació

Un document signat electrònicament perd tota validesa probatòria si és alterat, corromput o inaccessible quan se'n requereix la presentació — en cas de litigi, auditoria o control fiscal. Els riscos concrets inclouen:

  • La pèrdua d'integritat: qualsevol modificació post-signatura, encara que minora, invalida la signatura i per tant la validesa jurídica del document.
  • L'expiració dels certificats: un certificat qualificat té una durada de vida limitada (generalment 1 a 3 anys). Si el document no està estampillat temporalment o arxivat correctament abans de l'expiració, la seva verificabilitat futura es veu compromesa.
  • L'obsolescència tecnològica: els formats de fitxer evolucionen. Un document PDF signat el 2018 amb un algoritme SHA-1, actualment considerat vulnerable, pot causar problemes de validació a llarg termini.
  • Les violacions RGPD: els documents signats contenen sovint dades personals (nom, cognoms, adreça IP, correu electrònic). Una mala gestió d'aquestes dades exposa l'empresa a sancions de la CNIL que poden arribar al 4% de la facturació mundial.

Segons un estudi KPMG publicat el 2024, el 34% de les empreses franceses no disposa d'una política formalitzada d'arxivament electrònic, exposant-se a riscos jurídics significatius en cas de controvèrsia.

La validesa probatòria: una qüestió central

La validesa probatòria d'un document signat electrònicament es basa en tres pilars fonamentals:

  1. L'autenticitat: el signatari és realment qui pretén ser (verificació d'identitat, certificat qualificat).
  2. L'integritat: el contingut no ha estat modificat des de la signatura (emprenya criptogràfica, hash SHA-256 o superior).
  3. La no-repudiació: el signatari no pot negar haver signat (estampilla temporal qualificada, pista d'auditoria).

Aquests tres pilars han de poder-se mantenir en el temps, la qual cosa implica una estratègia d'arxivament activa i no passiva.

---

Les normes tècniques per a securitzar els vostres documents signats

Els formats de signatura a llarg termini: PAdES, XAdES, CAdES

Per garantir la permanència d'un document signat, les normes ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) i ETSI EN 319 142 (PAdES) defineixen formats de signatura adaptats a la conservació a llarg termini. El més utilitzat en la pràctica B2B és el format PAdES (PDF Advanced Electronic Signatures), amb els seus nivells:

  • PAdES-B: nivell bàsic, adaptat a duracions curtes.
  • PAdES-T: afegeix una estampilla temporal qualificada per provar l'existència del document en un instant T.
  • PAdES-LT: integra les dades de revocació dels certificats, permetent la validació sense accés als serveis en línia.
  • PAdES-LTA: nivell més robust, afegeix una estampilla temporal d'arxiu que permet renovacions periòdiques. Recomanat per a qualsevol conservació que superi els 3 anys.

Per a l'arxivament a llarg termini, el nivell PAdES-LTA és la referència recomanada per l'ANSSI i els proveïdors de serveis de confiança qualificats (QTSP).

L'estampilla temporal qualificada: la clau de volta de l'arxivament

L'estampilla temporal qualificada, definida a l'article 42 del reglament eIDAS, constitueix una prova legal de l'existència d'un document en un moment precís. Està emesa per una Autoritat d'Estampillat Temporal qualificada (TSA - Time Stamping Authority) inscrita en la llista de confiança europea (EU Trust List).

Conretament, l'estampilla temporal:

  • Lliga criptogràficament l'emprenya del document a una data i hora certificades.
  • Permet provar que la signatura era vàlida en el moment de la seva creació, fins i tot si el certificat ha expirat des de llavors.
  • És indispensable per assegurar l'admissibilitat del document en justícia anys després de la seva signatura.

L'encriptació i el control d'accés

Més allà dels aspectes criptogràfics relacionats amb la signatura en si, la securització física i lògica dels documents arxivats és igual de crítica:

  • Encriptació en repòs: els documents han d'estar encriptats als servidors d'allotjament (AES-256 mínim).
  • Encriptació en trànit: protocols TLS 1.3 per a qualsevol transferència.
  • Control d'accés basat en rols (RBAC): només les persones autoritzades poden accedir als documents arxivats.
  • Registre dels accessos: tot accés, consulta o descàrrega ha de quedar registrat (registres immutables).
  • Còpies de seguretat geo-redundants: com a mínim dues còpies en llocs geogràficament diferenciats, amb proves de restauració regulars.

---

Estratègies d'arxivament electrònic probatori: SAE i caixafort digital

El Sistema d'Arxivament Electrònic (SAE)

Un Sistema d'Arxivament Electrònic (SAE) és una infraestructura dedicada a la conservació a llarg termini dels documents numèrics amb garantia de la seva integritat i accessibilitat. A França, el referencial aplicable és la norma NF Z42-013 (homologada ISO 14641), que defineix les exigències per al disseny i l'explotació d'un SAE probatori.

Les característiques d'un SAE conforme inclouen:

  • Un pla de classificació estructurat amb regles de conservació per categoria documentària.
  • Una emprenya d'integritat calculada a l'entrada i verificada periòdicament.
  • Un registre immutable de totes les operacions.
  • Procediments de migració tecnològica per evolucionar els formats sense pèrdua d'integritat.
  • Un accés securitzat i auditable amb autenticació forta.

El recurs a un SAE gestionat per un proveïdor qualificat (tipus Arxivament Electrònic a Validesa Probatòria - AEVP) permet a les empreses delegar aquesta complexitat mentre es beneficien de garanties contractuals i reglamentàries sòlides.

El caixafort digital: una solució complementària

El caixafort digital és una variant simplificada del SAE, orientada a l'usuari final. Permet a cada signatari conservar una còpia personal, securitzada i accessible, dels seus documents signats. Aquesta aproximació és especialment pertinent per a:

  • Contractes de treball i addenda (accessibles pel salariat).
  • Condicions generals de venda acceptades electrònicament.
  • Documents de cebament de client (KYC, mandats SEPA).

Duracions de conservació legals: allò que la llei imposa

La durada de conservació dels documents varia segons la seva naturalesa jurídica. Aquestes són les principals dates límit a conèixer:

| Tipus de document | Durada mínima legal | Base legal | |---|---|---| | Contractes comercials | 5 anys | Art. L110-4 Codi de comerç | | Documents fiscals | 6 anys | Art. L102 B LPF | | Contractes de treball | 5 anys després de la ruptura | Codi del treball | | Actes sota signatura privada | 5 anys (acció personal) | Art. 2224 Codi civil | | Documents comptables | 10 anys | Art. L123-22 Codi de comerç | | Dades de salut | 20 anys mínim | Art. R1112-7 CSP |

Aquestes duracions han de ser integrades en la política d'arxivament i parametritzades en les eines de gestió documentaria.

---

Integrar la securització en el vostre flux de signatura electrònica

Escollir una plataforma de signatura amb arxivament natiu

La millor estratègia consisteix a escollir una solució de signatura electrònica que integri nativament l'arxivament securitzat, en lloc de gestionar dues eines separades. Els criteris de selecció essencials són:

  • Qualificació eIDAS: la plataforma ha de ser o recolzar-se en un proveïdor de serveis de confiança qualificat (QTSP) inscrit en la EU Trust List.
  • Conformitat RGPD: allotjament de dades a la Unió Europea, DPA (Data Processing Agreement) disponible, possibilitat d'exercir els drets de les persones.
  • Formats d'arxivament certificats: suport natiu de PAdES-LTA o equivalent.
  • Pista d'auditoria completa: cada etapa del procés de signatura ha de quedar registrada i ser exportable.
  • API d'integració: per connectar la plataforma a la vostra GED (Gestió Electrònica de Documents) o ERP existent.

Per comparar les solucions disponibles al mercat, consulteu el nostre comparatiu de solucions de signatura electrònica.

La pista d'auditoria: la vostra millor protecció en cas de litigi

La pista d'auditoria (o audit trail) és un diari cronològic i immutable que registra totes les accions relacionades amb un document: enviament, obertura, signatura, rebuig, recordatoris. Constitueix una prova complementària a la signatura en si mateixa.

Una pista d'auditoria probatòria ha de contenir:

  • Les estampilles temporals qualificades de cada acció.
  • Les adreces IP i agents d'usuari dels signataris.
  • Els identificadors de verificació d'identitat utilitzats.
  • Les metadades del document (hash d'emprenya).

En cas de litigi, és sovint la pista d'auditoria la que marca la diferència davant un tribunal, especialment quan s'ha utilitzat la signatura simple o avançada (i no qualificada).

Automatitzar els recordatoris de renovació i arxivament

Una política d'arxivament eficaç és primer de tot una política automatitzada. Les bones pràctiques inclouen:

  • Alertes automàtiques abans de l'expiració dels certificats o de les estampilles temporals.
  • Flux de renovació d'estampilla temporal (timestamp renewal) abans que els algoritmes criptogràfics esdevinguin obsolets.
  • Revisions periòdiques de la llista de documents arxivats, amb verificació aleatòria d'integritat.
  • Panell de control de conformitat que permeti identificar els documents la durada de conservació dels quals s'apropa a la data límit legal.

Aquestes automatizacions estan disponibles nativament en les plataformes de signatura electrònica de nova generació, com Certyneo per a empreses.

Marc legal aplicable a la securització i l'arxivament dels documents signats

La conservació securitzada dels documents signats electrònicament s'inscriu en un marc regulatori dens, la domació del qual és indispensable per a qualsevol organització que desitgi oposar aquests documents a tercers o presentar-los en justícia.

Reglament eIDAS n°910/2014 i les seves evolucions

El reglament europeu eIDAS (Electronic IDentification, Authentication and trust Services), aplicable des de l'1 de juliol de 2016 i en curs de revisió mitjançant eIDAS 2.0, estableix el marc de confiança per als serveis de signatura electrònica a Europa. Distingeix tres nivells de signatura (simple, avançada, qualificada) i imposa als proveïdors de serveis de confiança qualificats (QTSP) exigències estrictes en matèria de seguretat, auditoria i continuïtat de servei. L'article 25 reconeix la presumpció de no-repudiació per a la signatura qualificada. L'article 42 estableix el marc pels serveis d'estampillat temporal qualificat.

Codi civil francés: articles 1366 i 1367

L'article 1366 del Codi civil estableix que « l'escrit electrònic té la mateixa força probatòria que l'escrit en suport paper, sota la reserva que pugui ser degudament identificada la persona de la qual emana i que estigui establert i conservat en condicions de naturalesa a garantir-ne la integritat ». L'article 1367 precisa les condicions de validesa de la signatura electrònica. La responsabilitat de la conservació en condicions que garanteixin la integritat correspon a l'organització que té la custodia del document.

RGPD n°2016/679: protecció de dades personals en els arxius

Els documents signats electrònicament contenen sistemàticament dades personals (identitat del signatari, adreça de correu electrònic, adreça IP, de vegades dades biomètriques comportamentals). El RGPD imposa una base legal per a cada tractament, la limitació de la durada de conservació al necessari, i la implementació de mesures tècniques i organitzatives apropiades (article 32). En cas de violació de dades que afecti arxius de documents signats, l'article 33 imposa una notificació a la CNIL en 72 hores.

Directiva NIS2 (2022/2555/UE)

Transposada en dret francés per ordenança el 2024, la directiva NIS2 imposa a les entitats essencials i importants obligacions reforçades en matèria de ciberseguretat, incloent-hi la securització dels sistemes d'informació que tracten dades sensibles. Les plataformes d'arxivament de documents signats de les organitzacions afectades entren en l'àmbit d'aplicació.

Normes ETSI i NF Z42-013

Les normes ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) i ETSI EN 319 142 (PAdES) defineixen els formats de signatura electrònica avançada i qualificada conformes amb eIDAS. La norma NF Z42-013 / ISO 14641 constitueix el referencial francés per al disseny i l'explotació d'un sistema d'arxivament electrònic amb validesa probatòria. El seu compliment és fortament recomanat per l'ANSSI i constitueix una protecció sòlida en cas de contestació judicial.

Sancions i riscos en cas de no-conformitat

Els riscos són múltiples: inadmissibilitat del document en justícia, sancions de la CNIL (fins a 20 milions d'euros o el 4% de la facturació mundial per a violacions RGPD majors), imputació de responsabilitat contractual o aquiliana de l'organització, i pèrdua de les garanties ofertes pel proveïdor de signatura si les obligacions de conservació no han estat respectades.

Escenaris d'ús: com les organitzacions securitzen els seus documents signats

Escenari 1 — Un despatx d'advocats que gestiona milers d'actes anuals

Un despatx d'advocats mercantilista de 25 col·laboradors tracta en mitjana 3.000 actes i contractes signats electrònicament per any (protocols transaccionals, mandats, actes de cessió). Enfrontat a la necessitat de presentar documents antics de 7 anys durant un control fiscal d'un client, el despatx constata que diverses signatures ja no són verificables: els certificats havien expirat i cap estampilla temporal d'arxiu (nivell PAdES-LTA) havia estat aplicada.

Després d'integrar una solució de signatura amb arxivament natiu en SAE conforme amb NF Z42-013, el despatx es beneficia d'una verificabilitat garantida durant 30 anys. El temps de recerca i presentació d'un document durant un litigi passa de 4 hores a menys de 15 minuts. Els associats estimen una reducció del 60% del risc jurídic vinculat a la conservació documentaria. Per saber més sobre les necessitats específiques dels despatxos jurídics, consulteu la nostra pàgina dedicada a la signatura electrònica per a despatxos jurídics.

Escenari 2 — Una PIME industrial que gestiona contractes de proveïdors i clients

Una PIME industrial de 180 salaris genera aproximadament 400 contractes amb proveïdors i 250 contractes amb clients signats electrònicament per any. Els seus documents es trobaven fins aleshores emmagatzemats en una carpeta compartida no encriptada en un servidor intern, sense pista d'auditoria, sense control d'accés granular.

Després d'un incident de ciberseguretat (ransomware) que havia xifrat part del servidor, diversos contractes vigents havien de ser re-signats, generant retards i costos estimats en 40.000 €. Després de la migració a una plataforma SaaS de signatura amb caixafort digital integrat, allotjament sobira a França i còpies de seguretat geo-redundants, la PIME elimina aquest risc. També es beneficia d'alertes automàtiques sobre els venciments contractuals. Per estimar el retorn de la inversió d'aquesta aproximació, utilitzeu el nostre calculador ROI de signatura electrònica.

Escenari 3 — Un agrupament hospitalari que gestiona consentiments de pacients i contractes RH

Un agrupament hospitalari d'aproximadament 1.200 llits ha de conservar els consentiments informats dels pacients signats electrònicament durant 20 anys mínim (article R1112-7 del Codi de la salut pública), així com els contractes de treball dels seus 2.500 agents. La multiplicitat de documents i els diferents terminis de conservació feien impossible i arriscada la gestió manual.

Deployant una solució de signatura electrònica amb mòdul d'arxivament parametritzable per categoria documentaria, el servei jurídic de l'agrupament automatitza les regles de retencio: 20 anys per als consentiments, 5 anys post-ruptura per als contractes RH, 10 anys per als contractes públics. Les auditories internes de conformitat RGPD revelen una taxa de conformitat documentaria que passa del 67% al 96% en menys d'un any. Per a les especificitats del sector, la nostra guia sobre la signatura electrònica en la salut detalla les limitacions reglamentàries aplicables.

Conclusió

Securitzar i conservar els vostres documents signats electrònicament no és una opció tècnica accessòria: és una obligació legal i un imperatiu estratègic per a qualsevol organització que es recolza en la signatura electrònica en els seus processos de negoci. Entre la conformitat amb eIDAS, les exigències del RGPD, les normes ETSI i els terminis de conservació imposats pel Codi de comerç, la complexitat és real — però perfectament manejable amb les eines adequades.

Les claus d'una estratègia d'arxivament reeixida són clares: formats de signatura a llarg termini (PAdES-LTA), una estampilla temporal qualificada sistemàtica, un allotjament securitzat i sobira, regles de conservació automatitzades i una pista d'auditoria completa.

Certyneo integra nativament el conjunt d'aquestes funcionalitats en una plataforma SaaS pensada per als equips B2B. Descobriu com protegir duraderament els vostres documents signats provant Certyneo gratuitament o explorant els nostres preus.

Proveu Certyneo gratuïtament

Envieu la vostra primera sobrecoberta de signatura en menys de 5 minuts. 5 sobrecobertess gratuïtes al mes, sense targeta de crèdit.

Comença gratuïtamentVeure preus
Tots els articles

Aprofundir en el tema

Articles de referència sobre aquest tema.

Conservació de documents signats electrònicamentDurada legal, arxiu amb valor probatori, formats d'arxiu: com emmagatzemar correctament els seus documents signats electrònicament.Durada de conservació de documents signats electrònicament a França...Conservar els vostres documents signats electrònicament a França és fàcil! Descobriu com el reglament eIDAS i el RGPD us ajuden a conservar els vostres documents de manera legal. Estalvieu temps i reduïu els riscos jurídics amb Certyneo.Desmaterialització de documents comercialsEnfocament, passos, ROI: com desmaterialitzar els documents de la teva empresa més enllà de la signatura.Signatura electrònica d'un contracte: valor, passos, trampesCom signar un contracte electrònicament amb total seguretat jurídica? Valor legal, passos pràctics, trampes clàssiques i recomanacions 2026.

Aprofundir en el tema

Les nostres guies completes per dominar la signatura electrònica.

Articles recomanats

Aprofundiu els vostres coneixements amb aquests articles relacionats amb el tema.

Signatura electrònica per contractes B2C: validesa el 2026

La signatura electrònica en contractes B2C planteja qüestions precises sobre la validesa legal i la recollida del consentiment del client. Aquí teniu tot el que necessiteu saber pel 2026.

9 min

Firma electrònica al sector públic: guia 2026

Des de 2020, la firma electrònica és obligatòria en les compres públiques per sobre de certs llindars. Descobreix les regles, els nivells requerits i com posar la teva administració en conformitat.

9 min

Signatura electrònica per a les col·lectivitats territorials

Les col·lectivitats territorials acceleren la seva desmaterialització. Descobreix com la signatura electrònica assegura els teus contractes, redueix els terminis i respecta el marc legal europeu.

8 min